我们正在开发一个运行 .NET 8 的 ASP.NET Core MVC 应用程序。它通过 Azure 应用服务部署在 Azure 上。我们在应用程序中实施了内容安全策略,并为正在使用的 JS 脚本分配了随机数值。
最近,我们收到一个控制台错误,指出,
拒绝执行内联脚本,因为它违反了以下内容安全策略指令:“script-src 'self' 'nonce-blabla'。‘unsafe-inline’关键字、哈希值 ('bla-bla') 或需要一个随机数('nonce-...')才能启用内联执行。
它来自 azure app Insights 自动注入的脚本。导致 csp 违规的脚本来源是 https://js.monitor.azure.com/scripts/b/ai.2.min.js
我们没有与应用程序服务相关的所有权限,并且代码库中没有任何与应用程序见解相关的配置。我们尝试在 CSP 标头中添加一堆域来消除 csp 违规,但仍然无法解决它。
任何人都可以就如何解决自动注入脚本的 CSP 违规问题提出任何建议吗?
导致 csp 违规的脚本来源是 https://js.monitor.azure.com/scripts/b/ai.2.min.js
我们尝试在 CSP 标头中添加一堆域来消除 csp 违规,但仍然无法解决它。
您可以尝试允许来自受信任域的脚本,例如:
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' *.azure.com" />
有关
CSP: script-src